感染 – ページ 2 – 　　　　　　　　　おやじdemo

GOM-Playerまだ使っている人います？

3月 012014

産経新聞（2014.3.1）より引用です。

■外部遠隔操作で情報流出
高速増殖炉「もんじゅ」（敦賀市）で今年１月、中央制御室内にある職員用の業務パソコンがコンピューターウイルスに感染した問題で、もんじゅを運営する日本原子力研究開発機構は２８日、当直責任者が、動画再生用のフリーソフト「ＧＯＭ　Ｐｌａｙｅｒ」をアップデート（更新）した際にパソコンがウイルス感染し、外部からの遠隔操作で情報が流出したことを明らかにした。
同ソフトは韓国「グレテック」社が開発したメディアプレーヤー。更新すると、特定のＩＰアドレス（識別番号）を持つパソコンだけがウイルスに感染し、データを盗まれる。
原子力機構によると、当直責任者が同ソフトの更新時、何らかの方法で偽の更新サーバーに誘導され、ウイルスを侵入させられた後、韓国の遠隔操作サイト通じて、３・８メガ相当の画像やアカウントデータなどを盗まれた。県警が捜査を進めているという。
原子力機構は核セキュリティー上、重要な情報は流出していないとしている。また、ウイルス攻撃した組織・人物などは特定できていない。
原子力機構はウイルスに感染したパソコンを廃棄。再発防止策として、同ソフトをインストールしているパソコンの数を３００台程度から約４０台にまで減らした。
原子力機構は「より一層の情報セキュリティー強化に取り組む」としている。

いやいや、言う事ありませんな。
あれだけニュースで報道されても放置プレイですよ。
それも１．２台では無く、３００台ってなんですか。いくら無料の動画プレイヤーと言え、こんな台数入れて何を見ているんでしょうか。危機管理を一番優先に考えなければいけない部門でこんな状態では、何かあった場合には対処不能です。

重要な情報は漏れていません、みたいな事を直ぐに発言するが、何が漏れているのかも分からん状態でしょう。それに感染したパソコンは廃棄？金持ちです。再インストールして使えば良いのです。

ちょっと、対応狂ってないかい。
無料の動画プレイヤー使って、新品のパソコン買うのかい、今度はSimeji使うかな。
それともLINE？

なんとか機構とか付いている団体はおかしい連中多くねぇ？
パソコンを使う前に、常識的なお勉強した方がよろしいようです。

【はとバス】WEB改ざんで閲覧者ウイルス感染の恐れ

ニュース記事, 個人的な意見 No Responses »

2月 262014

ニュース記事で読まれた方、いらっしゃるかと思います。
旅行会社のはとバスのホームページが改ざんされて、アクセスするとウイルスに感染するような仕掛けが施されていたということです。

記事はこちら⇒ http://itpro.nikkeibp.co.jp/article/NEWS/20140226/539688/?top_nhl

2014年2月18日21時48分から同年2月24日10時50分までの間にアクセスした人は直ぐにウイルスチェックをして欲しいと思います。

問題なのは、改ざんされてから発見されるまでに5.6日かかってますよね。

毎日、logを調べていないんですかね。
Linux系のサーバーであれば、改ざんされているかどうかchkrootkitで調べれば直ぐに分かると思うのですが、普通に見ているだけでは改ざんってなかなか分からないように処理しています。

多分（私の予想ですが・・・）、改ざん前にbackdoorを仕掛けられていますね。
本来であればその時点で気が付かなくてはならないと思います。
logなんかも都合の悪い部分を消していったりするようなので、こうなるともう元に戻すのも大変です。

はとバスさんに限らずHPで広告・宣伝している会社は、そのHPが少しの間停止するだけでも営業面ではダメージが多いので、HP管理者の方は大変かと思いますが、事が大きくなる前に処置をすべきかと思います。ましては、海外からのお客さんが見るために、海外の怪しいIPを止める訳にもいかず、対応が難しいです。

そして、こういう行為をする連中は必ず、どこか乗っ取ったサーバーやPCからアクセスをしてくるので、IPを止めても切が無い状態です。今回のウイルス感染で、乗っ取られ易いサーバーが増えてしまっているという事も考えられます。

深く考えると、はとバスの会社を狙ったのでは無く、感染させて乗っ取るパソコンを増やすための行為、目的は違うところにある可能性もあります。乗っ取った予備軍のパソコンで他の国に攻撃を仕掛けるとか、ネットバンクを狙うとかの犯罪行為です。

そんな脅威も可能性としてはあるので、定期的なウイルスチェックをしてください。

自宅でサーバーを運用されている人も多いかと思いますが、本当に最近は攻撃が多いので、怪しいと思ったIPは直ぐに止める（遮断する）、国ごと遮断する、余計なポートは閉じる（ルータを閉める）、htaccessを見直すという事をやって欲しいと思います。

こんなに色々なところで攻撃や乗っ取り、改ざんが増えているという事は、これから何かネット上で起きる何かがあるのか？と考えていまいます。

攻撃は夜中から明け方が多いので、その間はサーバーを停止させる、メールサーバーを止めるなども一つの手かも知れません。真夜中はcronで自動にupdateやウイルスチェック,chkrootkitなど動作させている人も少なくないと思いますが、サーバーに負荷がかかっている状態で攻撃されるのが一番危険です。cronの自動化も時間帯を見直すとか（昼間にする、手動に切り替える）など対策を考えてください。

再三、しつこいようですが、自宅サーバー初心者の方は、SSHはローカルだけの許可にしてください。
rootでログインはダメ・ゼッタイ。

今度はGOMｰPlayerで危険がいっぱい

Windowsについて, ニュース記事 2 Responses »

1月 232014

最近はこんなニュースばかり取り上げるようになってしまっていますが、Windowsを使われている人で動画再生用にGOM-Playerを使用している人もかなりいらっしゃるかと思いますので掲載をしておきます。私はVLCなんですけどね。

ねとらぼ 1月23日(木)18時22分配信より引用です

【注意】動画ソフト「GOM Player」経由でウイルス感染のおそれ　アップデート機能使った新手口　事前の回避「大変困難」　※追記
動画再生ソフト「GOM Player」のアップデート機能を利用した、新たなコンピュータウイルス感染の手口が確認され、セキュリティ企業のラックが公式サイトで注意を促しています。
今回のケースでは「GOM Player」の自動アップデート時に何らかの方法で、正規のアップデートサーバではなく「攻撃者側が用意した不正サイト」へと誘導されてしまい、そこから不正ファイルを実行されてしまう場合があったとのこと。正規のソフトウェアアップデート中に感染が起こるため、ユーザー側で攻撃を防ぐのは非常に難しく、また攻撃を受けたかどうかも気付きにくいため、GOM Playerの利用者には「安全が確認されるまでアップデートを行わない」ことを推奨しています。
また今回は「GOM Player」がターゲットになりましたが、今後同様の手口は他のソフトウェアでも使われる可能性があるとのこと。ラックのサイトでは、ウイルスに感染したかどうかの確認方法・感染が確認された場合の対処方法を掲載するとともに、ソフトウェア提供企業に向けて「信頼できるソフトウェア配布機能の実装を行っていただくとともに、ユーザーが本来の正しいソフトウェアが動作していることを把握できる機能を盛り込むなどの工夫」を盛り込むよう提言しています。
●追記：GOM PLayer側はアップデートサービスを一時停止
ラックの発表を受け、GOM PLayer側からも見解が発表されました。現在調査・対策を進めており、完全に安全が確認されるまではGOM Playerを含むすべてのGOM製品（GOM Encoder、GOM Audio、GOM Tray）のアップデートサービスを一時停止するとのこと。またアップデートサービス停止中、最新版を利用したい場合は正規のダウンロードサイトより新規にインストールを行うことを推奨しています。

こうなってくると正規なアップデートなのかどうかまで真剣に考えなくてはならなくなり、前にも書きましたが、インストール時にほいほいクリックなんかしてはいけません。

インスト時ほいほいクリック・ダメ・ゼッタイ

使用されている方は、絶対にアップデートしないようにしてください。
Windowsはこういう攻撃する輩にターゲットにされ易いので、やっぱりCentOSを入れないか？

Newer Entries